Questa pagina spiega come controllare il flusso di traffico di rete tra pod e servizi utilizzando regole firewall a livello di pod.
I criteri di rete per le applicazioni ti aiutano a definire le regole per il traffico di comunicazione tra i pod. Controlla il modo in cui i pod comunicano tra loro all'interno delle loro applicazioni e con endpoint esterni. Puoi attivare la policy di rete sulle reti dei pod nei cluster Google Kubernetes Engine (GKE) Enterprise Edition in cui è attivato il networking multiplo. Puoi applicare i criteri di rete su interfacce di pod aggiuntive che corrispondono alle reti di pod specificate dall'utente.
Perché utilizzare i criteri di rete multi-rete
Ti consigliamo di utilizzare i criteri di rete multirete nei seguenti scenari:
Maggiore sicurezza di rete: vuoi isolare e proteggere i carichi di lavoro o i dati sensibili definendo criteri di rete per reti pod specifiche. I criteri di rete multi-networking limitano l'esposizione e riducono la superficie di attacco.
Controllo granulare del traffico: vuoi ottenere un controllo preciso sul flusso di traffico tra pod e servizi su reti di pod diverse, consentendo topologie di rete e requisiti di sicurezza complessi.
Ambienti multi-tenant: vuoi creare reti isolate per tenant o applicazioni diversi, assicurandoti che non possano interferire con la comunicazione tra di loro, mantenendo al contempo il controllo sull'accesso alla rete all'interno di ogni rete pod.
Ottimizzare l'utilizzo delle risorse: vuoi implementare criteri di rete su reti di pod specifiche per allocare in modo efficiente le risorse e dare la priorità al traffico in base ai requisiti dell'applicazione, migliorando le prestazioni e l'affidabilità.
Sicurezza per le funzioni di rete in container (CNF): vuoi separare il traffico di gestione dal traffico del piano dati all'interno dello stesso pod, evitando potenziali violazioni della sicurezza e accessi non autorizzati.
Come funzionano i criteri di rete multi-network con le reti di pod
Il seguente diagramma illustra in che modo i criteri di rete, applicati a reti di pod specifiche utilizzando le annotazioni, controllano il flusso di traffico tra i pod all'interno di un cluster GKE.
Il diagramma precedente mostra più nodi worker che eseguono pod (applicazioni containerizzate) e come comunicano all'interno dello stesso nodo o tra nodi diversi utilizzando l'infrastruttura di rete. Illustra inoltre l'utilizzo dei criteri di rete per controllare il flusso di traffico e la segmentazione della rete utilizzando VPC e subnet per una maggiore sicurezza e organizzazione.
- Isola il traffico con criteri di rete mirati: i criteri di rete influiscono solo sul traffico sulla rete del pod "blu" a causa dell'annotazione
networking.gke.io/network: blue-Pod-network. Il traffico sulla rete di pod predefinita rimane senza restrizioni. - Applica il traffico unidirezionale con i criteri di rete dei pod: nel diagramma precedente, i criteri di rete consentono al pod 1 di inviare traffico al pod 2 sulla rete del pod "blu". Il pod 2 non può inviare nuovamente il traffico al pod 1 sulla stessa rete. Il criterio di rete per i pod etichettati come "test-app-2" funziona come canale unidirezionale. Consente in modo specifico il traffico in uscita solo verso i pod etichettati come "test-app-3", impedendo la comunicazione con altri pod come "test-app-1".
- Consente il traffico in uscita per impostazione predefinita: se non è definito alcun criterio di uscita per un pod (Pod1 in questo esempio), tutto il traffico in uscita è consentito per impostazione predefinita sull'interfaccia di rete "blu".
- Garantisce la compatibilità con le funzionalità esistenti: tutte le opzioni dei criteri di rete GKE standard, come i selettori di etichette e i blocchi di indirizzi IP, funzionano con i criteri di rete multi-rete.
- Controlla l'ambito dei criteri di rete con le annotazioni:
- Se crei un criterio di rete senza annotazione, GKE applica i criteri di rete multi-rete a tutte le interfacce di rete dei pod nello spazio dei nomi selezionato, indipendentemente alle reti a cui sono connessi.
- Se includi l'annotazione e specifichi il nome di una rete di pod valida (ad esempio
networking.gke.io/network: blue-Pod-network), GKE applica il criterio ai pod connessi a quella rete di pod specifica. - Se l'annotazione fa riferimento alla rete del pod che non esiste effettivamente nel tuo cluster, GKE non applica il criterio di rete a nessun pod. Questo accade perché nessun pod è connesso alla rete non esistente specificata.
- Mantiene la comunicazione tra reti per i pod con più interfacce di rete: se applichi un criterio di rete per limitare il traffico su una rete del pod specifica all'interno di un pod, il traffico sulle altre reti del pod collegate allo stesso pod non verrà interessato.
Vantaggi
Di seguito sono riportati i vantaggi dell'utilizzo dei criteri di rete multi-rete:
Maggiore sicurezza: puoi mitigare i rischi associati all'accesso e al movimento laterale non autorizzati all'interno del cluster GKE applicando i criteri di rete a livello granulare.
Flessibilità e personalizzazione: puoi personalizzare i criteri di rete in base alle tue specifiche esigenze di gestione della sicurezza e del traffico per reti di pod diverse, adattandoti a carichi di lavoro e applicazioni diversi.
Gestione semplificata della rete: puoi evitare di creare reti di pod eccessive e avere un controllo granulare sulle comunicazioni utilizzando i criteri di rete, semplificando la gestione della rete e riducendo la complessità.
Ottimizzazione dei costi: evitando di dover creare numerose reti di pod, puoi ottimizzare l'utilizzo delle risorse e ridurre i costi associati all'infrastruttura di rete.
Protezione avanzata per le CNF: puoi garantire la sicurezza e l'integrità dei deployment delle CNF isolando il traffico di gestione e del piano dati e applicando criteri di rete specifici a ogni deployment.
Passaggi successivi
Controlla il flusso di traffico tra pod e servizi a livello di pod